یک سیستم مدیریت امنیت اطلاعات یا information security management system و به اختصار ISMS مجموعه‌ای از سیاست‌های مربوط به مدیریت امنیت اطلاعات یا خطرات مربوط به فناوری اطلاعات است. اصل حاکم بر ISMS این است که یک سازمان باید سیاست‌ها، فرآیندها و سیستم‌های مرتبط با مدیریت خطرات اطلاعاتی را طراحی و سپس پیاده‌سازی  کند و در ادامه برای حفظ آن تلاش کند تا خطرات مربوط به امنیت اطلاعات به سطح قابل قبولی کاهش یابد.

ایزو ۲۷۰۰۱ (به انگلیسی ISO/IEC 27001) استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که در سال ۲۰۰۵ توسط سازمان بین‌المللی استانداردها (ISO) و کمیسیون برق بین‌المللی تدوین شد. این ISO قسمتی از استانداردهای خانواده ISO/IEC 27000 می‌باشد.

ISO/IEC 27001 به طور رسمی یک سیستم مدیریتی را تعیین می‌کند که هدف آن تأمین امنیت اطلاعات است. تعیین رسمی بدین معناست که این استاندارد یک سری معیار و قانون را الزام می‌کند و سرپیچی از این معیارها و قوانین جرم محسوب می‌شود.

تعدادی از ثبت‌کننده‌های معتبر جهانی می‌توانند برای یک ISMS گواهی انطباق با استاندارد ISO/IEC 27001 را صادر کنند. دریافت هر نوع از نسخه‌های ملی شده (در کشورهای مختلف) استاندارد ۲۷۰۰۱ (مثل نسخه ژاپنی آن؛ یعنی JIS Q 27001) توسط ثبت‌کننده‌های معتبر جهانی، با دریافت استاندارد ISO/IEC 27001 معادل است. در برخی کشورها، به آن دسته از شخصیت‌های حقوقی که انطباق سیستم مدیریت را با استانداردهای خاص ارزیابی می‌کنند، ”گواهی دهنده“ و در برخی دیگر از کشورها ”ثبت‌کننده“ اطلاق می‌شود. گواهی ISO/IEC 27001 معمولاً شامل وارسی خارجی سه مرحله‌ای است:

مرحله ۱: مرور مقدماتی و تهیه گزارش ISMS است. مثلاً بررسی وجود و کامل بودن اسناد و مدارک کلیدی، مثل سیاست امنیتی اطلاعات سازمان، منشور کاربردیات (SoA) و برنامه رفع خطر (RTP). هدف این مرحله شناساندن افراد با سازمان و برعکس است.

مرحله ۲: یک ممیزی انطباق دقیق‌تر و رسمی‌تر است که به‌طور مستقل ISMS را بر اساس الزامات مشخص شده در ISO/IEC 27001 بررسی می‌کند. حسابرسان به دنبال شواهدی برای تأیید طراحی و پیاده‌سازی و بهره‌برداری صحیح سیستم مدیریت هستند (مثلاً تایید این که ”کمیته امنیت“ و یا یک شخصیت حقوقی مشابه، به طور منظم برای نظارت بر ISMS سیستم را بازبینی می‌کند).

مرحله ۳: شامل بازرسی یا ممیزی‌های متعاقب به منظور تأیید ادامه سازگاری و انطباق سازمان با استاندارد است. نگهداری گواهینامه نیازمند ممیزی‌های دوره‌ای برای تأیید ادامه فعالیت ISMS بر اساس مشخصه‌ها و اشارات استاندارد است. این عمل باید حداقل سالی ۱ مرتبه انجام انجام شود.